Microsoft повідомила про те, що хакери знайшли критичну вразливість у Windows та активної її використовують. Компанія вже працює над патчем, який закриває цю діру. Тим часом, компанія порадила юзерам вимкнути службу принтерів, до готовності патчу.
Вразливість PrintNightmare використовує баг у службі принтера Windows Print Spooler і дозволяє віддалене виконання коду.
Служба принтера у Windows є програмним сервісом, який контролює та централізовано керує друкуванням документів. Саме вона починає працювати, коли ви натискаєте клавішу друкування у програмі. Вона отримує дані для друку від програми та контролює готовність принтеру її виконати. Також ця служба контролює чергу на роздруковування.
Служба принтера має доступ до всіх компонентів операційної системи, що робить її цікавою мішенню для зловмисників.
Витік інформації про вразливість PrintNightmare стався випадково. Китайська компанія у сфері кібербезпеки Sangfor опублікувала доказ використання цієї вразливості на своїй сторінці в GitHub. Код швидко видалили, але його встигли скопіювати.
Поки немає захисту від PrintNightmare у Microsoft радять уберегтися від атаки через цю вразливість відключенням служби. Це можна зробити через PowerShell або через групові політики.
У PowerShell необхідно ввести команди:
Input Stop-Service -Name Spooler -Force
Input Set-Service -Name Spooler -StartupType Disabled
В редакторі групових політик gpedit.msc необхідно перейти в розділ Конфігурація комп’ютера > Адміністративні шаблони > Принтери. В цьому меню необхідно знайти опцію, що дозволяє Print Spooler приймати з’єднання та відключити її.
